Splunk - 调整源文件时间戳
Splunk - Adjusting source file timestamp
给定:
- 我有两个日志文件(file_1、file_2)
- 每个都来自不同的服务器(server_1、server_2)。
- 服务器未通过 ntpd 属性 同步。
(例如:server_1 比 server_2 快 13 秒。)
- 我没有能力调整或更正服务器时间。
- 我是 Splunk 用户,不是 Splunk 管理员。
问题:提取每个日志文件后,事件关闭 13 秒(很明显)。
问题:我能否将 source=file_2 中所有事件的 _time 调整 13 秒,以便事件在搜索结果、图表等中正确排列? ?
(注意:这是对更复杂问题的简单分解。我有来自数百台服务器的数千条日志。我不能简单地 re-run/create 这些日志。)
您可以将 Splunk 时间戳设置为您想要的任何内容,只需覆盖这些事件的 _time 字段即可:
<any base search> source=file_2 | eval _time=_time+13
我们可以使用 eval if 语句查看所有事件并仅更新 file_2
的时间
<any base search> | eval _time=if(source=="file_2", _time+13, _time)
给定:
- 我有两个日志文件(file_1、file_2)
- 每个都来自不同的服务器(server_1、server_2)。
- 服务器未通过 ntpd 属性 同步。 (例如:server_1 比 server_2 快 13 秒。)
- 我没有能力调整或更正服务器时间。
- 我是 Splunk 用户,不是 Splunk 管理员。
问题:提取每个日志文件后,事件关闭 13 秒(很明显)。
问题:我能否将 source=file_2 中所有事件的 _time 调整 13 秒,以便事件在搜索结果、图表等中正确排列? ?
(注意:这是对更复杂问题的简单分解。我有来自数百台服务器的数千条日志。我不能简单地 re-run/create 这些日志。)
您可以将 Splunk 时间戳设置为您想要的任何内容,只需覆盖这些事件的 _time 字段即可:
<any base search> source=file_2 | eval _time=_time+13
我们可以使用 eval if 语句查看所有事件并仅更新 file_2
的时间<any base search> | eval _time=if(source=="file_2", _time+13, _time)